사용자 브라우저에서 스크립트 실행
위험쿠키 탈취, 세션 탈취, 피싱, 화면 변조
단서입력값이 응답 HTML이나 DOM에 그대로 반영
대응출력 인코딩, CSP, HttpOnly, 입력값 검증
공격이 브라우저에서 실행되는지, 인증 상태를 악용하는지, 서버에 파일을 남기는지를 먼저 보면 대응책도 자연스럽게 갈린다.
위험쿠키 탈취, 세션 탈취, 피싱, 화면 변조
단서입력값이 응답 HTML이나 DOM에 그대로 반영
대응출력 인코딩, CSP, HttpOnly, 입력값 검증
위험비밀번호 변경, 결제, 설정 변경 요청 오용
단서피해자 세션 쿠키가 자동 전송되는 요청
대응CSRF Token, SameSite, Origin 검증, 재인증
위험웹셸 실행, 서버 장악, 내부 정보 유출
단서확장자 우회, MIME 위조, 업로드 경로 실행
대응확장자·매직넘버 검증, 저장 분리, 실행 차단
공격 스크립트, 사용자 브라우저, 출력 인코딩을 함께 쓴다.
인증된 사용자, 위조 요청, 토큰 검증을 함께 쓴다.
악성 파일, 서버 실행, 저장 경로 분리를 함께 쓴다.